黑客可利用9种最热门的AI工具构建大规模僵尸网络

admin 2026-07-12 05:47:32 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: HalluSquatting是一种新型AI攻击,利用LLM的幻觉缺陷,通过预测并抢注AI编程助手可能虚构的代码库名称,植入恶意指令,从而大规模感染设备并构建僵尸网络。该攻击可导致DDoS、勒索软件和加密货币挖矿等严重后果,揭示了AI工具在资源解析上的固有安全风险,提醒用户需谨慎验证AI生成的内容。 综合评分: 83 文章分类: AI安全,漏洞分析,威胁情报,恶意软件,红队


cover_image

黑客可利用 9 种最热门的 AI 工具构建大规模僵尸网络

原创

很近也很远 很近也很远

网络研究观

2026年7月9日 08:26 福建

在小说阅读器读本章

去阅读

“HalluSquatting”攻击利用了大型语言模型无法说“我不知道”的致命弱点

在人工智能安全的发展史上,提示词注入攻击(Prompt Injection)迅速成为了头号威胁。大型语言模型(LLM)在本质上无法区分什么是用户输入的合法指令,什么是隐藏在电子邮件、源代码或第三方内容中的恶意指令。这使得攻击者能够轻而易举地暗中植入恶意命令,而 AI 引擎则会毫无防备地直接执行。

由于无法在“可信来源”和“不可信来源”之间划清这条关键的界限,AI 开发者们只能通过建立复杂的防御防护措施来减轻损害,却始终无法从根本上解决问题。

到目前为止,绝大多数提示词注入攻击都属于“推送式”(Push-based)攻击。这种方式通常针对单个潜在受害者,例如攻击者将恶意指令植入某封电子邮件或日历邀请中。由于恶意代码必须精准发送给每一个特定目标,因此攻击规模非常有限,很难对整个互联网造成大规模的破坏。

与此同时,“拉取式”(Pull-based)攻击——即让 AI 模型主动去访问植入恶意提示词的网站——同样面临局限。因为攻击者很难诱骗大量的 AI 模型同时去访问某一个特定恶意网站,所以这类攻击也无法大规模实施。

认识 HalluSquatting(对抗性幻觉占位)

#

现在,研究人员设计出了一种全新的、颠覆性的“拉取式”攻击方式。这种被称为 HalluSquatting 的新型攻击首次实现了通过提示词注入来构建庞大的僵尸网络、发起大规模 DDoS(分布式拒绝服务)攻击以及大规模感染设备。

该攻击主要针对易受攻击的 AI 编程助手和 AI 智能体(Agents),包括 Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw 和 NanoClaw

在日常运行中,这些工具和智能体会定期从公共代码库和注册表中拉取代码等资源。

HalluSquatting 利用了大型语言模型固有的“幻觉”倾向(即虚构不存在的代码仓库或注册表资源标识符)。这些编程代理和助手通常拥有极高的权限,可以直接调用命令行终端来运行来自第三方的资源和代码。

攻击者通过提前预测 LLM 最有可能“幻觉”出来的资源标识符(如用户名或项目名),抢先在 GitHub 等平台上注册这些名称,并在其中植入安装反向 Shell 或其他恶意软件的指令。这样一来,攻击者无需逐个瞄准目标,就能无差别地感染大量独立设备。

研究人员在发表的论文中写道:

https://sites.google.com/view/agentic-botnets/home

“这种攻击极具扩展性。攻击者只需盯准热门资源,就能以极小的代价入侵大量用户,从而最大化抢注资源的利用率。通过利用 AI 智能体集成的 Shell 和终端来运行脚本,攻击者只要在抢注的资源中嵌入安装反向 Shell 的指令,就能高效‘感染’许多独立的智能体应用。”

由于 HalluSquatting 能够大规模控制分布式设备,它让许多以前通过提示词注入无法实现的高破坏性目标成为可能,例如发起大规模的勒索软件攻击,或者组建用于 DDoS 攻击、加密货币挖矿的庞大僵尸网络。

“抢注”(Squatting)这个概念源于“仿冒域名/软件包抢注”(Typosquatting),即注册一个与热门域名或软件包高度相似的名称,以此诱骗用户访问或安装。

这种攻击在 2016 年首次引发广泛关注,当时一名大学生向 PyPI、RubyGems 和 NPM 等主流仓库上传了 214 个带有恶意代码的仿冒软件包。结果,这些恶意代码在超过 17,000 个不同域名上被执行了超过 45,000 次,且其中超过一半的域名直接赋予了完全的管理权限。自那以后,此类抢注攻击便愈演愈烈。

AI 最大的问题:不知道怎么说“我不知道”

#

HalluSquatting 攻击之所以能成功,核心在于 LLM 无法准确识别用户指定的资源位置。例如,当开发者指示一个 AI 编程智能体去克隆一个非常热门的新代码库时,LLM 最多只有 85% 的概率能摸索出正确的路径。而如果让它去克隆热门的“技能”(Skill,指赋予 AI 智能体特定能力或领域知识的指令、脚本或资源)时,AI 产生幻觉的概率竟然高达 100%。

HalluSquatting 专门攻击这些热门资源,因为它们由于太新或更新太快,并未包含在 AI 的训练数据中,但在短时间内却有巨大的下载需求。

研究人员指出,AI 无法提供正确的位置是一个固有的底层缺陷,源于训练偏差或对当前上下文指令的误解。这意味着,当用户下达类似“克隆 [某代码库名称]”或“安装 [某技能名称]”的指令时,AI 机器人经常会导航到错误的位置去获取内容。

这些幻觉不仅无法避免,而且根植于所有六大主流大语言模型的底层,包括 Gemini-2.5-flash、Gemini-2.5-pro、GPT-5.1、GPT-5.2、Sonnet-4.5 和 Opus-4.5。更糟糕的是,这些 AI 幻觉中最常出现的错误路径是极易被提前预测的。在将提示词中的库或技能名称与其在仓库中的正式名称进行匹配时,这六款大模型全都遵循相同的错误模式。

这种被研究人员称为“自指模式”(Self-referencing pattern)的幻觉规律非常普遍:所有六个模型都会默认生成形如 代码库名称/代码库名称 的路径,直接把代码库的名字错当成所有者的用户名。由于这种模式完全固定,攻击者甚至不需要提前去试探或测试模型。

有趣的是,大模型在解析 2019 年之前发布的经典代码库时,平均错误率仅为 0.9%;然而,当同样的模型去解析 2025 年发布的新代码库时,平均错误率竟然飙升至 92.4%

一旦攻击者预测出 AI 最有可能凭空捏造的用户名,他们就会检查该用户名是否可在 GitHub 上注册。随后,他们会注册该账号并上传一个模仿热门资源的虚假代码库。在这个库的 README 文件或其他角落里,隐藏着一条利用高级权限指示 AI 应用在用户电脑上安装反向 Shell 的恶意指令,或者直接包含安装所需的恶意代码。不论采用哪种方式,AI 编程助手都会乖乖利用其命令行终端的访问权限,替黑客执行这些操作。

大规模利用 AI 漏洞的后果

#

这项研究由特拉维夫大学的 Aya Spira、Elad Feldman、Avishai Wool、Ben Nassi,以色列理工学院的 Stav Cohen,以及 Intuit 公司的 Ron Bitton 共同完成。他们在发表的论文中警告道:

攻击者利用智能体应用的集成 Shell 和终端来运行脚本和代码,能够高效感染大量独立的 AI 应用。一旦黑客控制了这些分布式的计算资源,就等于打开了通往各种高破坏性后果的大门。

黑客可以扩大在不同网络上发起勒索软件攻击的规模,从而榨取最大的经济利益。

此外,他们还可以将受感染的机器聚合到僵尸网络中,用于消耗巨大算力的任务,例如:(1) 大规模加密货币挖矿(如 Smominru、WannaMine),或 (2) 对受害者发起 Mirai 级别的分布式拒绝服务(DDoS)攻击。”

这项研究已经引发了业界其他 AI 安全专家的强烈关注。

安全公司 Zenity 的首席技术官 Michael Bargury 在邮件中评论道:

“这项研究非常棒,而且这种威胁是真实存在的。就像传统的域名抢注一样,这个问题不会轻易消失。归根结底,这取决于我们赋予了 AI 智能体多大的自主权。它们迟早都会被欺骗,我们必须对此做好应对和防御的准备。”

独立安全研究员 Johann Rehberger 也表示:

“这表明 AI 的资源解析机制已经成了一条全新的攻击路径。攻击者可以先试探或预测模型,找出高概率的虚构名字并提前抢占占位,然后静静等待 AI 智能体自动找上门来。这种能够找出模型最容易混淆的资源名称的技术非常巧妙,这意味着在实际应用中,许多 AI 智能体都会落入这个陷阱。”

如今,AI 工具开发商们常常大肆宣扬其平台的便捷与高效,宣称自动化可以极大地减轻工作负担。然而,他们却对这些可能导致整个项目彻底失控的固有缺陷讳莫如深。

像 HalluSquatting 这样的攻击敲响了警钟:AI 带来的效率提升可能被夸大了。因为到头来,最终用户仍然需要睁大眼睛,仔细核对项目中所使用每一个资源的具体位置和真实性。过度依赖 AI 助手,可能会带来意想不到且极其严重的灾难性后果。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络研究观 很近也很远 很近也很远《黑客可利用 9 种最热门的 AI 工具构建大规模僵尸网络》

真HC,还得是BO*S 网络安全文章

真HC,还得是BO*S

文章总结: 该文档内容模糊,仅包含图片和简短文字,提及真HC与虚假HC的对比,并标注来源为银遁安全团队。文档缺乏具体技术细节或可操作建议,更像是一篇带有调侃性质
评论:0   参与:  0